Wie sicher sind Passwortmanager?
Hallo,
Passwortmanager sind ja an sich eine gute Sache. Aber wie sicher sind meine Passwörter auf den fremden Servern der Anbieter (z.B. Bitwarden)? Man kann ja einen eigenen Server aufsetzen dafür, wenn der vernünftig abgesichert ist, sind die Daten ziemlich sicher, aber wie sicher sind die, wenn man sich auf die Server der Anbieter verlässt, um geräteübergreifend die Passwörter einsetzen zu können? Wie einfach kann das gehackt werden etc.? Und was für Daten sollte man da dann wohl nicht hinterlegen?
Danke für die Antworten :)
6 Antworten
Hey,
das kann man natürlich nie sagen. Auch wenn es unwahrscheinlich ist, die Möglichkeit, dass solche Anbieter deien Passwörter im Klartext lesen können besteht.
Daher würde ich dir KeePass empfehlen, das ist ein OpenSource PW-Manager, welcher ohne Cloud arbeitet und für alle Betriebssysteme funktioniert. Der Eeinzige Nachteil ist dann halt, dass du deine Passwort-Datenbank halt manuell auf die versch. Endegeräte kopieren musst.
Mfg Jannick (L1nd)
Ich würde dir zu nem lokalen Passwortmanager wie KeePass raten. Die Keydatei kannst du immer noch in die Cloud setzen - wenn dein Masterpasswort gut genug ist kann da nichts passieren.
Das kommt natürlich darauf an welchen Dienst man nutzt, ich persönlich nutze seit Jahren KeePassXC.
KeePassXC nutzt eine 256 Bit AES Verschlüsselung, diese alleine ist schon fast unmöglich zu knacken darüber hinaus wird ein Masterpasswort vergeben welches nötigt ist um deine Datenbank zu sehen, alternativ kann noch ein YubiKey verwendet werden um maximale Sicherheit zu gewährleisten.
Ich kann natürlich nicht für alle Passwort Manager sprechen aber bisher gab es noch nie Probleme bei mir.
Wie sicher sind Passwortmanager?
Du könntest auch fragen: Wie sicher sind Autos? Oder wie sicher sind Kindersitze?
Genau wie bei diesen Beispielen ist natürlich keine Pauschalaussage mögich.
Aber wie sicher sind meine Passwörter auf den fremden Servern der Anbieter (z.B. Bitwarden)?
Nicht jeder Passwortmanager speichert auf fremden Servern. Jeder Passwortmanager ist individuell zu beurteilen. Wie immer kommt es auf die jeweilige Implementierung an. Bitwarden soll "sicher" sein, es sind keine Schwachstellen in der Implementierung bekannt.
Man kann ja einen eigenen Server aufsetzen dafür, wenn der vernünftig abgesichert ist, sind die Daten ziemlich sicher, aber wie sicher sind die, wenn man sich auf die Server der Anbieter verlässt, um geräteübergreifend die Passwörter einsetzen zu können? Wie einfach kann das gehackt werden etc.?
Ich möchte mal behaupten, dass für die meisten Anwender die Nutzung der Server von Bitwarden sicherer ist als die Nutzung eines eigenen Servers.
Und was für Daten sollte man da dann wohl nicht hinterlegen?
Jedes Passwort ist wichtig. Ich kann die Differenzierung zwischen "wichtigen Daten" und "unwichtigen Daten" nicht nachvollziehen.
Ich persönlich verwende KeepassXC und Keepass2 Android auf Windows, Ubuntu und Android. Der Passwort-Tresor ist mit einer Schlüsseldatei abgesichert und wird über Nextcloud auf die Desktop-Geräte synchronisiert. Die Mobilgeräte holen sich die Schlüssedatei per WebDAV. Funktioniert einwandfrei. Nextcloud läuft auf einem eigenen Server bei mir zu Hause. So ein Server benötigt aber auch regelmäßige Zuwendung. Einmal installieren und die nächsten fünf Jahre nicht drum kümmern geht genauso wenig wie bei einem Haustier. Und genau deshalb ist die Nutzung eines externen Dienstes für die meisten sicherer. Viele synchronisieren den Passwort-Tresor per Dropbox, Onedrive etc. Das ist in Ordnung, weil der Tresor wirksam verschlüsselt ist. Wer dann noch Schlüsseldatei und/oder Hardwaretoken verwendet, ist auf jeden Fall auf der sicheren Seite.
Wer alle seine Passwörter einem fremden Anbieter anvertraut dem ist nicht zu helfen.
Nimm keepassX, und halte es offline auf dein PC, mach ein Backup auf usb als Sicherheit.
keypassX legt eine verschlüsseltes File an wo deine Passwörter gehalten werden. Ich synchronisiere über nextcloud, läuft bei mir im LAN.
256bit-rijndael nutzt es. und geräteübergreifend läuft es auch. daher das "X". isses bombensicher? nö. aber besser als ein PW für alles das meist 123456 oder so ist ^^
Wer alle seine Passwörter einem fremden Anbieter anvertraut dem ist nicht zu helfen.
Ich gehe stark davon aus, dass alle Firmen deine Passwörter auf ihrem Server so verschlüsseln, dass sie da nicht selbst drannkommen.
Wenn du jetzt nicht grade auf jedem Gerät auf dem du deine Passwörter eingibst, ein Open Source Betriebssystem verwendest, weißt du genauso wenig, ob nicht jeder Tastenanschlag an den Hersteller des Betriebssystem weitergeleitet wird.
dann spielt es keine Rolle wo du die PW hast... aber es geht hier eher drum die PW vor kriminelle Individuen zu schützen.
einfach davon ausgehen dass die Anbieter alles richtig machen und dort die PW ablegen ist einfach zu viel Vertrauen auf ein Pferd setzen.
Ich glaube es ist deutlich wahrscheinlicher, dass man sein Windows durch irgendwelche Programme oder Einstellungen unsicher macht oder Windows noch irgendwelche Lücken hat, als das ein Server, auf welchem ausschließlich hochsensible Daten gespeichert werden, der nur von Sicherheitsexperten betreut wird gehackt wird UND die Kriminellen in der Lage sind die Verschlüsselung zu knacken.
Wie verschlüsselt keepassX die Passwörter denn auf dem PC? Sonst können die ja auch direkt entwendet werden. Und geräteübergreifend funktioniert das dementsprechend wohl auch nicht, oder?